Neopets meldt diefstal van miljoenen niet-gehashte wachtwoorden

[Captain Kirk]

De populaire website Neopets, waar spelers met virtuele dieren kunnen spelen, heeft meer details gegeven over het datalek waarbij de gegevens van 69 miljoen accounts werden gestolen. Zo zijn van miljoenen spelers niet-gehashte wachtwoorden buitgemaakt. Op 21 juli waarschuwde Neopets dat er mogelijk klantgegevens waren gestolen. De data werd op internet te koop aangeboden.

In een update over het incident laat de ontwikkelaar weten dat de aanvaller toegang had tot namen, e-mailadressen, gebruikersnamen, geboortedata, geslacht, ip-adressen, Neopets PIN, gehashte wachtwoorden en data over het dier van de speler. Voor mensen die voor 2015 een Neopets-account hadden zijn ook niet-gehashte, inactieve wachtwoorden buitgemaakt. Waarom het bedrijf oude niet-gehashte wachtwoorden van gebruikers bewaarde laat Neopets niet weten.

Neopets werd in 1999 gelanceerd en had in 2016 meer dan negentig miljoen spelers. In dat jaar kreeg de website ook al met een datalek te maken. De nu gestolen data zou tussen 3 januari 2021 en 19 juli 2022 zijn gedownload, wat inhoudt dat de aanvaller lange tijd toegang tot de systemen van Neopets had. Vanwege het datalek is besloten de wachtwoorden van gebruikers te resetten en wordt er gewerkt aan het toevoegen van multifactorauthenticatie.

 

bron: https://www.security.nl